利用云计算建设安全智慧的铜陵烟草
张林
铜陵烟草专卖局公司,安徽省铜陵市244000
摘要:当人类利用云计算服务各行各业并借此提高生活质量的同时人类也在被云计算改变着。企业或个人信息、数据越来越多的存储或依赖云,信息资源的安全成为人类全面接纳云计算的首要障碍。铜陵烟草信息中心在云计算的道路上不断探索,合理利用云计算及虚拟化技术,构建多维度立体安全的云计算平台,为铜陵烟草的信息安全体系建设提供有力支撑。
关键词:云计算;安全;虚拟化技术
随着信息化的发展,网上购物、电子商务成为时下多数人以及公司的新选择,然而运维支撑一个网上购物或电子商务平台则依赖着大量经济及技术的投入。就在不久前,中国最大的电子商务平台--阿里巴巴,宣布首个北美数据中心投入试运营,而在这之前还有五个运行在中国。至此中国的云计算平台第一次直接站在了云计算巨头亚马逊与微软的门口。这里暂且不提阿里巴巴这次为国人挣得了多少的脸面,也不提该做法是否盈利,但我相信云计算作为一个创新技术,提供了一种可能:即构建云平台所依赖的大量经济及技术的投入是可收回成本甚至产生额外价值的“Good Job”。
1、云计算
在广泛针对云计算的定义中,普遍认为:云计算是由虚拟的分布式应用和网格计算发展而来,作为一种新型的商业模式,可简化管理、优化资源,同时节约成本并以减少在信息技术资源上的开销为目的的一种创新的解决方案。
如今,大多数的云计算IT项目都将重点放在了以整合IT架构为主,通过部署服务器虚拟化,构建服务器、存储、网络甚至以软件及平台作为服务交付为最终目标上。以虚拟化技术作为重要的核心技术,重新定义划分了IT资源,并可以实现IT资源的动态分配、灵活调度、跨域共享,提高了IT资源利用率。
2、安全关键问题
然而伴随着人类大量使用云计算技术,我们发现在实际过程中随之产生了很多新的安全问题:
(1)由于云计算作为一个新型的解决方案,并且云计算的特点之一就是其开放性,因而使得每个云平台都有其唯一性,每个云平台的目标、构建方式及构建思想都会不同。因此现今围绕云计算的安全很难有一套统一的规范或管理办法。人们在云端保存的信息资料,也没有相关的机构、组织去或者有能力去监督、管理,因此“数据最终会流到谁的手上,是否安全”是第一个问题。
(2)云计算使得数据过于集中,现今很多提供云平台的公司都宣称自己的系统是多么的安全,在不同层面都有众多的安全保护措施,但是需要指出的在过去的时间里,大部分现有成熟、主流的云计算平台都出现过意外故障或个别问题,试问:商业用户都尚且如此,何况大多赔本赚吆喝的免费用户呢,安全能做到哪个级别?恐怕在业务的连续性受威胁的同时,数据的可靠性也成为一个很大的问题。“鸡蛋在一个筐内”此为问题之二。
(3)云计算的实现得益于现在发达的IT技术,但它过于复杂。举个很简单的例子:原本打开笔记本电脑去打开一个电子文档这件事在云计算时代会变成,打开电脑或者移动终端等设备--连接上网络--通过云服务商的接口或者APP连接云平台--找到文件--通过网络下载或者通过云服务商的虚拟应用接口直接运行打开。由于耦合关系变得如此的复杂,且不说效率,单从逻辑结构来看,一旦某个环节出现故障,用户会面对无法使用的囧境。问题三就是:云计算还是过于复杂了。
(4)除此之外,相关的云计算服务商也不得不面对庞大的服务器、存储、网络、安全设备、应用系统的运维的问题,而这其中在关注平台本身之外,还需要管理与这些相关的关键人,这些都是云计算安全所面临的安全问题。
3、现状及思考
铜陵烟草主要负责铜陵市、县两级烟草专卖执法监管及卷烟专卖经营业务,是烟草专卖行政执法管理与卷烟经营的政企合一的单位。由于烟草行业的特性,铜陵烟草也拥有众多的应用系统,数量不少的服务器、存储、网络安全设备及用户终端,相关运维管理及安全建设是铜陵烟草信息中心的重要职责。
由于应用系统的开发时间及开发商不同,因此大部分应用系统对客户端的操作系统版本、浏览器的选择或ActiveX插件的安装运行、Windows补丁及安全设置甚至客户端的性能均有“不同的要求”。以致于不同的应用系统的运行环境出现“水火不容”,必须使用不同的客户端才能正常使用。
于此同时,目前铜陵烟草应用系统大部分基于传统的PC方式,办公人员通过PC或笔记本电脑进行日常的办公,需要在每台PC终端上安装各种业务系统的软件及office等程序,并将数据直接保存在PC的本地硬盘中。业务系统及数据运行在数据中心的后台服务器上,安装在终端PC的各种客户端软件经由局域网连接后台服务器,访问各种应用、业务数据和流程。这样一来核心信息资产、业务数据等重要信息都可以方便的从系统中调取,甚至很多成为电子文档形式直接存放于PC终端或各种移动存储(如U盘、移动硬盘等)中,假如PC出现故障、恶意软件或病毒、设备被盗、文件丢失时数据的恢复成为巨大的挑战。
在网络安全层面:传统的防火墙、入侵防御系统等安全技术大多针对的是外部的安全攻击等做防护,但对内的防护,例如内部员工的主动泄密则是一件目前安全尚未完全涉足的领域。通过携带保存有机密信息的硬盘、磁带、光盘、U盘、纸件等介质,或者通过Internet发送邮件、BBS和博客等手段现今不再是碟中谍中的“阿汤哥”才能完成的任务。这里不得不说与传统的纸质文档相比IT时代的电子文档带来便利的同时,信息化时代数据的安全也变得更加棘手,泄密从未如此变得如此简单。面对这些威胁,铜陵烟草考虑引入更多安全解决方案。
除此之外,随着信息化的发展,在互联网+的环境下,铜陵烟草也面临着移动化战略的挑战,如何让办公人员更加方便、灵活的使用任何设备、应用或云获得令人愉悦而高效的用户体验并确保安全性成为接下来的十三五规划中信息化建设规划中需要重要思考的工作。
4、对策
铜陵烟草经过多年在云计算以及虚拟化技术上的探索与研究,计划从三个方向去入手及解决:
Iaas(Infrastructure as a Service),即基础设施即服务
Saas(Software as a Service),即软件即服务
Daas(Data a Service),即数据即服务
(1)Iaas(Infrastructure as a Service),即基础设施即服务
不得不说,目前云计算技术普及重要也是最广一块就是Iaas。而在本文中将详细介绍Iaas中运用的核心技术--服务器虚拟化。
以往服务器的操作系统直接安装、运行在服务器硬件上,这种硬耦合关系导致服务器故障后,服务器需要花费大量的时间进行修复,并且由于操作系统及业务数据直接存放在服务器硬盘中,不能像换抽屉一样立即在别的服务器中重建,因此带来的则是长时间的业务停机时间,甚至是数据丢失的风险。而虚拟化技术打破这种耦合关系,使操作系统不再直接安装在硬件上,而是在服务器硬件上部署服务器虚拟化层,然后让操作系统运行在服务器虚拟化提供的虚拟化层上,这样通过服务器虚拟化技术,将原先真实的业务服务器变成逻辑服务器概念,形成了逻辑层和物理层分离的横向结构,加上服务器虚拟化技术之后不仅可以方便地复用硬件资源,并且由于虚拟化平台的自动化功能,使得管理效率大大提高,管理难度也大大下降。于此同时,操作系统作为虚拟化平台中的一个逻辑单元可方便的在不同的服务器中任意迁移,并针对这一个个逻辑单元方便的进行数据层面以及业务层面的备份及容灾保护。
铜陵烟草原有超过20台服务器及众多存储,在服务器虚拟化后仅仅采用2台服务器及1台存储即可。与原环境相比,实际的整合比达到10:1。这样可以简单的算一笔账,20台服务器的电费、空间、硬件采购的成本与2台高配置服务器+存储的模式相比的服务器虚拟化技术带来的优势非常明显,并且令业务服务器获得比原来更高的安全级别:原先一台服务器故障后超过1天的维修时间,现在变为了5分钟,并由于平台的众多保护功能均为自动,现在环境中故障基本不靠人去干预,而是利用平台不间断的监控的技术自动检测并自动处理。在多次内部统计及调研后发现:通过服务器虚拟化技术,铜陵烟草的数据中心完成了IT构架的整合,并依靠安全设计保护业务系统的可靠性并提高了业务安全及容错能力。
(2)Saas(Software as a Service),即软件即服务
在Saas这块定义较多,微软的office365,谷歌的GoogleApps,SAP的SAP Business ByDesign等则是典型的应用。铜陵烟草在Saas的方向上的思考方向是应用及桌面虚拟化。
铜陵烟草目前大部分办公人员只会访问固定的办公应用,无太多的定制化桌面需求,而其中部分办公人员会经常出差或者在不同的分支机构间来往。此类用户的办公有以下特点:
• 普遍使用OA、商业管理系统、Office等特定的办公软件。应用相对简单,对计算资源要求相对较低。
• 外设访问:外设需求不多。基本只有打印机及特定的U Key等设备
• 安全性:包括财务在内,大部分人都会接触大量敏感信息,对数据安全要求高。
其余部分,例如信息中心人员则需要接触更多的应用管理或运维监控类应用,在信息化建设过程中还需要不时研发、测试新的应用系统。总体来看,用户的个性化需求及复杂度均较高,资源的消耗较高。
另外从长期的运维来看,PC机+操作系统+应用的捆绑导致大部分办公电脑只能运行在老掉牙的WinXp+IE6.0的模式下,与现在云计算时代、移动化战略阶段下IT的创新技术相比,为保障业务的正常使用,目前铜陵烟草的IT模式在灵活度及用户体验上都非常差,而PC消亡论的时代下,没准最后的一台PC也会有倒下的一天。
结合这样的需求,铜陵烟草在内网试点应用及桌面虚拟化,实现办公用户桌面的标准化管理的同时提供最佳的灵活度及安全性。
简单来说,应用及桌面虚拟化与服务器虚拟化有相同的部分,它是将PC机+操作系统+应用+数据的耦合关系分离,利用数据中心构建的应用及桌面虚拟化平台,将PC变成一个独立的前端设备,操作系统、应用程序及数据全部或部分在虚拟化平台中存储及运行。
当用户通过任意PC、笔记本或任意的智能终端登录应用及桌面虚拟化平台后,虚拟化平台将相关操作系统、应用程序、数据以类似投影的方式推送至用户的PC甚至任意的终端的显示器上,而用户在看到画面的同时也可以利用键盘、鼠标或手势完成操作。
这样一来,终端上运行的是用户最喜爱的操作系统如苹果的IOS系统,并运行自己日常需要的应用如天气、闹钟等APP,而办公则仅需鼠标或者手指几次点击即可进入虚拟化平台中使用。这样提供了最佳了灵活性,由于所有的操作系统、应用及数据均在平台中存储、运行,因此该构架避免了企业数据和用户个人数据的交互,提高了安全性。
由于平台采用的是标准化、自动化的管理模式,原来需要针对每个人管理配置的应用配置过程变成单一副本的维护,大大降低的运维的成本,原先用户运行一个应用程序会觉得不流畅的情况在平台中会预先发现,并通过服务器虚拟化平台动态智能的分配更多的资源。可以预见,通过该技术,铜陵烟草在安全层面有了一个质的飞跃。
(3)Daas(Data a Service),即数据即服务
市面对Daas的定义不多,而在为数不多的解决方案中,每家的解读也不同。本文中描述是数据跟随(Follow-me-data)解决方案,针对铜陵烟草日益增加的非结构化数据(指的是不适合用数据库二位逻辑表来表现的,类似电子文档一类的数据),为不同部门及个人交付的一套可靠的数据共享和同步服务,满足办公人员的移动性和协作需求的同时去确保数据的安全,将数据作为一种服务交付给用户的解决方案。
也会很多人在这点上有不同的看法,例如:Baidu、金山云盘等一系列网盘的共享功能挺不错的,而且也有免费的版本,为何自己需要再建设一套?
请别忘了,这些消费级文件共享工具导致的数据安全问题也会随之而来,并且由于数据传输效率的问题,办公人员每产生的一个文件都需要通过Internet出口上传至网络,在人数、文件数量变多了以后呢?铜陵烟草必须考虑自建一套私有云平台,以确保安全和灵活。
作为与Iaas及Saas平台的补充,铜陵烟草的Daas方案针对自身的特点,在确保安全和效率之上,实现在例如PC、笔记本、以及移动终端之间的数据文件共享和数据同步问题,让各部门间数据的交互变得更加简单。由于与建设的应用、桌面虚拟化做了集成,在应用、桌面虚拟化提供的安全之上又针对数据进行了一层保护。并且也提供Microsoft® Outlook®等工作流程工具集成,可在提供安全访问的同时,提升效率。形成一整套覆盖全网、全设备、全业务系统的解决方案。
由于云平台的特点,该铜陵烟草在建设Daas平台时重点考虑了数据的安全性问题,平台中所有的文件不再是单一的副本,依赖多副本技术,任何人、设备上传同步的数据在平台中被存放在多个数据存储位置,任意数据存储的故障,都不影响数据本身,业务将不会出现任何中断。
通过该平台,用户的设备故障或者由于疏忽遗忘在家中都变得不棘手。通过另外一个设备登录平台后,所有的数据均存在,未写完的一份邮件甚至可以继续完成,而假如用户终端的设备在外出时丢失,通过及时告知平台维护人员,通过管理员下发策略,所有设备的丢失可执行远程擦除,防止文件泄密。
不得不说前文提到的三个解决思路都有其局限性,但通过构建这样的三套云平台,铜陵烟草在多维度上相互补充。
诚然,如前文中所说到的安全问题在这三个解决思路下并不一定能完全解决,但其实现了更高的安全性,提供了更强劲的性能,带来了灵活的使用体验。而铜陵烟草也会坚定走云计算这条道路,并将安全作为建设过程中的关键点。由于笔者的知识水平有限,在此有何谬误之处敬请谅解。
参考文献:
(1)李建卓.云计算及其发展综述[J].宝鸡文理学院学报:自然科学版,2010(3) 72-75
(2)李连,朱爱红.云计算安全技术研究综述[J].信息安全与技术,2013(5).